什么是sql盲注？就是用SQL查詢(xún)語(yǔ)句來(lái)猜測(cè)表名、字段、數(shù)據(jù)等，盲注入和普通SQL注入有相同的原理。有什么區(qū)別？常見(jiàn)的注入是在頁(yè)面上顯示一些錯(cuò)誤信息供攻擊者判斷，也就是說(shuō)它會(huì)出現(xiàn)各種情況，從而方便攻擊

什么是sql盲注？

就是用SQL查詢(xún)語(yǔ)句來(lái)猜測(cè)表名、字段、數(shù)據(jù)等，盲注入和普通SQL注入有相同的原理。有什么區(qū)別？常見(jiàn)的注入是在頁(yè)面上顯示一些錯(cuò)誤信息供攻擊者判斷，也就是說(shuō)它會(huì)出現(xiàn)各種情況，從而方便攻擊者。盲注只有兩種情況，即真注和假注。這不是很準(zhǔn)確，因?yàn)镾QL查詢(xún)只在這兩種情況下進(jìn)行。應(yīng)該說(shuō)，當(dāng)它是盲注時(shí)，只能得到一個(gè)正常的頁(yè)面或者什么頁(yè)面不存在，甚至在查詢(xún)表的記錄過(guò)程中也不會(huì)顯示出來(lái)。SQL盲注入是一種SQL注入漏洞。攻擊者可以操縱SQL語(yǔ)句，應(yīng)用程序?qū)閠rue和false條件返回不同的值。但是，攻擊者無(wú)法檢索查詢(xún)結(jié)果。由于SQL盲注漏洞非常耗時(shí)，需要向web服務(wù)發(fā)送大量的請(qǐng)求，為了利用該漏洞，我們需要使用自動(dòng)化技術(shù)。盲注工具使用困難，注模效果仍不理想，應(yīng)注意采用人工注模技術(shù)。盲注記是一種無(wú)法直接顯示數(shù)據(jù)庫(kù)數(shù)據(jù)的方法。在盲注釋中，攻擊者根據(jù)返回的不同頁(yè)面（可能是不同的頁(yè)面內(nèi)容或響應(yīng)時(shí)間）來(lái)判斷信息。一般來(lái)說(shuō)，盲注可分為三類(lèi)。謝謝你的邀請(qǐng)。對(duì)于你的問(wèn)題，我有以下答案，希望能解決你的困惑。

首先回答第一個(gè)問(wèn)題：什么是SQL注入？

一般來(lái)說(shuō)，黑客在網(wǎng)站表單中插入惡意SQL語(yǔ)句，提交或輸入域名請(qǐng)求查詢(xún)語(yǔ)句，最后欺騙網(wǎng)站服務(wù)器執(zhí)行惡意SQL語(yǔ)句。通過(guò)這些SQL語(yǔ)句，黑客可以獲得一些他們想要的數(shù)據(jù)信息和用戶(hù)信息，也就是說(shuō)，如果有SQL注入，那么他們就可以執(zhí)行SQL語(yǔ)句的所有命令

讓我擴(kuò)展一個(gè)問(wèn)題：SQL注入的原因是什么？

數(shù)據(jù)庫(kù)屬于網(wǎng)站代碼沒(méi)有嚴(yán)格分離，當(dāng)黑客提交的參數(shù)數(shù)據(jù)沒(méi)有得到充分的檢查和防御時(shí)，黑客就會(huì)輸入惡意SQL命令，改變?cè)瓉?lái)的SQL命令語(yǔ)義，將黑客執(zhí)行的語(yǔ)句放入數(shù)據(jù)庫(kù)中執(zhí)行。

現(xiàn)在回答第二個(gè)問(wèn)題：我們常用的注射方法是什么？

我們常用的提交方法是get和post

首先，get，get提交方法。例如，如果要查詢(xún)數(shù)據(jù)，則查詢(xún)代碼將顯示在鏈接中。您可以看到我們的id=1，1是我們搜索的內(nèi)容。當(dāng)鏈接出現(xiàn)時(shí)，這是get。

第二個(gè)是post submission方法是不可見(jiàn)的。我們需要用工具來(lái)觀察它。我們需要使用hackbar瀏覽器插件

以這種方式提交。我在這里搜索了2，顯示的數(shù)據(jù)不同。這是數(shù)據(jù)庫(kù)的查詢(xún)功能。在這種情況下，get提交比post提交更有害。

第二個(gè)是post submission方法是不可見(jiàn)的。我們需要用工具來(lái)觀察它。我們需要使用hackbar瀏覽器插件。

這就是我的答案。我希望它能幫助你。

什么是sql注入？我們常見(jiàn)的提交方式有哪些？

在我的理解中，SQL注入是盲目注入，沒(méi)有區(qū)別，只是另一個(gè)名字。它是通過(guò)SQL來(lái)猜測(cè)、獲取甚至修改數(shù)據(jù)庫(kù)信息，如表名、字段、數(shù)據(jù)等。一般對(duì)于BS系統(tǒng)來(lái)說(shuō)，只要網(wǎng)頁(yè)設(shè)計(jì)中存在問(wèn)題或漏洞，都是可以解決的。目前，竊取信息可能是非法的，所以不要輕易嘗試。原理很簡(jiǎn)單，檢查很多，現(xiàn)在很多設(shè)計(jì)人員和開(kāi)發(fā)人員都會(huì)注意到這些問(wèn)題，所以攻擊一個(gè)小系統(tǒng)是可以的，實(shí)現(xiàn)一個(gè)大系統(tǒng)太難了。

sql盲注和注入的區(qū)別？

由于Preparedstatement不包含數(shù)據(jù)，只包含操作，因此不需要使用數(shù)據(jù)拼接SQL。